Session1(更新20230205).pdf

Session1(更新20230205).pdf
vincentjava@yahoo.com.tw 段維瀚老師製 Session 1 網站安全設計原則
vincentjava@yahoo.com.tw 段維瀚老師製資安問題永遠存在 !
vincentjava@yahoo.com.tw 段維瀚老師製課程大綱 1. Web應用程式設計 • HTTP/HTTPS • 安全組態設定 • 網站安全設計原則 2. 了解網站基本單元與資安基礎知識 • 攻擊與防禦-揭露 Web 應用程式常見弱點與攻擊手法
vincentjava@yahoo.com.tw 段維瀚老師製 Web應用程式架構展示層邏輯層資料層客戶端伺服端客戶端/伺服端
vincentjava@yahoo.com.tw 段維瀚老師製
vincentjava@yahoo.com.tw 段維瀚老師製 Web應用程式架構 Request 請求 Response 回應
vincentjava@yahoo.com.tw 段維瀚老師製 TCP/IP 網路模型有線網路(乙太網路)、無線網路(Wi-Fi) 網際網路協議(IP) TCP、UDP、RTP、SCTP 如何有效傳輸 HTTP、FTP 如何包裝數據
vincentjava@yahoo.com.tw 段維瀚老師製 TCP/IP 網路模型資料經過網路模型的處理方式，先將傳送端的資料一層層打包完畢之後，送到網路上傳送。接收端接受到東西之後，再依相反順序拆開。
vincentjava@yahoo.com.tw 段維瀚老師製 TCP/IP 網路模型 IP 協議對應於網絡層 TCP 協議對應於傳輸層 HTTP 協議對應於應用層三者從本質上來說是完全不同。也可以說，TCP/IP協議是傳輸層協議，主要解決數據如何在網絡中傳輸，而HTTP是應用層協議，主要解決如何包裝數據。
vincentjava@yahoo.com.tw 段維瀚老師製 TCP/IP 網路模型 TCP 三向交握 (Three-way Handshake) Client Server 客戶端發送 syn包到服務器，並進入SYN_SEND狀態，等待服務器確認服務器收到 syn包，必須確認客戶的 syn 包，同時自己也發送一個 SYN包，即 SYN+ACK包，此時服務器進入SYN_RECV狀態; 客戶端收到服務器的SYN+ACK包，向服務器發送確認包 ACK，此包發送完畢，客戶端和服務器進入ESTABLISHED狀態，完成三次握手。 established 開始傳資料… Request 請求 Response 回應
vincentjava@yahoo.com.tw 段維瀚老師製 HTTP文件 Message part Description The initial line status line 裡面包含了 HTTP 的方法， URI，HTTP 版本與初始狀態 The headers section 根據 HTTP 的方法所包含的標頭資訊，meta：User-Agent、 Content-Type 或 ContentLength 等 … Blank line Blank line 你可以當作是 Headers 資料的結束或者是 Headers 與 Message body 的分隔，例如當你要利用GET 或 POST 的方法來送出其他的資料時，這些額外的資料就會包裝在 Message body 的區域而 Blank line 就可以來區隔 Headers 與 Message body 的資料。 Message body 存放 Request 或 Response 的內容，例如：Request 中的參數或者是 Response 中的 HTML Tag。
vincentjava@yahoo.com.tw 段維瀚老師製
vincentjava@yahoo.com.tw 段維瀚老師製 HTML <form method="post" action="/WebSecure/servlet/login"> Username: <input type="text" name="username"><br> Password: <input type="password" name="password"><br> <input type="submit" value = "Login" > </form> Initial line POST /WebSecure/servlet/login HTTP/1.1 Headers accept : image/gif, , application/x- shockwave … accept-language : zh-tw user-agent : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) host : localhost:8080 connection : Keep-Alive pragma : no-cache Blank line Message body username=john&password=1234 HTTP請求文件
vincentjava@yahoo.com.tw 段維瀚老師製 HTML Initial line HTTP/1.1 200 OK Headers Date : Tuesday, 10-Feb-23 15:31:59 GMT Server : Tomcat Web Server / 9.0.18 MIME-version : 1.0 Content-type : text/html Content-length : 24 Blank line Message body <html> Login OK! </html> HTTP回應文件 <html> Login OK! </html> Login OK!
vincentjava@yahoo.com.tw 段維瀚老師製開發人員：觀察 Http Request 請求 Response 回應觀察！
vincentjava@yahoo.com.tw 段維瀚老師製 Lab 設計一個 WebApp 可以支援 Login 登入 <form method="post" action="/WebSecure/servlet/login"> Username: <input type="text" name="username"><br> Password: <input type="password" name="password"><br> <input type="submit" value = "Login" > </form>
vincentjava@yahoo.com.tw 段維瀚老師製監控觀察 HTTP 資訊段維瀚老師 17 HTTP 資料揭露
vincentjava@yahoo.com.tw 段維瀚老師製 Hacker 竊聽 Request 請求 Response 回應竊聽！觀察！
vincentjava@yahoo.com.tw 段維瀚老師製 SSL/TLS 網景公司（Netscape）在 1994 年推出首版網頁瀏覽器－網景領航員，之後為讓資料在網路上能更安全傳遞，推出HTTPS協定，以SSL進行加密，這是SSL的起源。 IETF將SSL進行標準化 1999年公布TLS 1.0標準檔案 2006年公布TLS 1.1 2008年公布TLS 1.2 2018年公布TLS 1.3
vincentjava@yahoo.com.tw 段維瀚老師製 SSL/TLS 傳輸層安全性協定（Transport Layer Security，縮寫：TLS）及其前身安全通訊協定（Secure Sockets Layer ，縮寫：SSL）是一種安全協定，目的是為網際網路通訊提供安全及資料完整性保障。
vincentjava@yahoo.com.tw 段維瀚老師製為何要寫 SSL/TLS 而不是直接寫 SSL 或 TLS SSL (Secure Sockets Layer) 是由 Netscape 公司開發的網路安全協定，它最初被用來保護網路數據傳輸。但是由於 SSL 存在安全漏洞，因此在 1999 年被 IETF (Internet Engineering Task Force) 取代。 TLS (Transport Layer Security) 是 SSL 的後續版本，它被設計來修復 SSL 中的安全漏洞。目前，TLS 是網路安全協定的標準，被用來保護數據傳輸。因此為了涵蓋到並且更為準確，所以通常會寫成 SSL/TLS，代表網路安全協定。
vincentjava@yahoo.com.tw 段維瀚老師製 SSL HTTP/HTTPS HTTP 協議 SSL 加密安全層 HTTPS 協議
vincentjava@yahoo.com.tw 段維瀚老師製 TLS HTTP/HTTPS HTTP 協議 TLS 加密 TLS HTTPS 協議
vincentjava@yahoo.com.tw 段維瀚老師製 HTTP/HTTPS HTTP 協議 SSL 加密安全層 HTTPS 協議 SSL/TLS
vincentjava@yahoo.com.tw 段維瀚老師製 Lab 將網站加入 Https Chrome 解決 http 自動跳轉 https 問題地址欄輸入：chrome://net-internals/#hsts 找到底部 Delete domain security policies一欄，輸入想處理的域名，點擊delete。 1 2
vincentjava@yahoo.com.tw 段維瀚老師製監聽 HTTP/HTTPS 資訊段維瀚老師 26 資料完全被揭露資料完全被加密
vincentjava@yahoo.com.tw 段維瀚老師製 CA 憑證 CA 憑證（Certificate Authority）是由証明憑證頒發機構（簡稱 CA）頒發的數位證書。 CA 憑證是用來確認網站或應用程式的身份，並且確保通訊過程中的保密性和完整性。
vincentjava@yahoo.com.tw 段維瀚老師製 CA 憑證機構 CA 憑證是由頒發機構頒發，頒發機構需要經過嚴格的審核程序，才能被授予頒發 CA 憑證的資格。常見的 CA 憑證頒發機構包括 DigiCert、GlobalSign、 Comodo、GoDaddy 等。
vincentjava@yahoo.com.tw 段維瀚老師製憑證 CA 指紋憑證 CA 指紋 (Certificate Authority Fingerprint) 是一種憑證驗證的方法，用來確認憑證是否為某個特定的證書頒發機構 (CA) 頒發的。
vincentjava@yahoo.com.tw 段維瀚老師製憑證 CA 指紋 – 內容 CA 指紋是一串由字元和數字組成的字串，它是根據憑證中的公鑰計算出來的，可以用來唯一地識別憑證。
vincentjava@yahoo.com.tw 段維瀚老師製憑證 CA 指紋 - 比對當瀏覽器發現一個網站使用了 SSL / TLS 憑證時，它會將憑證中的 CA 指紋與其本地存儲的 CA 指紋清單進行比對。如果兩者相同，則瀏覽器會認為憑證是合法的，並顯示網站已經通過驗證。如果不同，則瀏覽器會顯示警告，提示用戶有可能遭遇偽造的網站。
vincentjava@yahoo.com.tw 段維瀚老師製憑證 CA 指紋 – 演算法為何要有 SHA-256 指紋與 SHA-1 二種演算法 ? 可相容於不同瀏覽器版本舊版多使用：SHA-1 新版多使用：SHA-256
vincentjava@yahoo.com.tw 段維瀚老師製 Strict-Transport-Security (HSTS)
vincentjava@yahoo.com.tw 段維瀚老師製 Strict-Transport-Security (HSTS) 是一個 HTTP 協議的標頭，用於強制瀏覽器使用安全連接（HTTPS）連接到網站。當瀏覽器第一次連接到 HSTS 啟用的網站時，它將收到一個 HSTS 標頭，指示瀏覽器將這個網站視為安全的，並強制使用 HTTPS 而不是明文傳輸協定（HTTP）。瀏覽器將在一段指定的時間內記住此信息，在此期間內連接到該網站時，瀏覽器將強制使用 HTTPS，即使用戶試圖使用 HTTP 連接。
vincentjava@yahoo.com.tw 段維瀚老師製 Strict-Transport-Security (HSTS) 使用 HSTS 可以防止網站的中間人攻擊和傳輸加密，並提高網站的安全性。但是，網站開發人員必須小心，因為 HSTS 強制瀏覽器使用 HTTPS 瀏覽你的網站(或子網站)，一旦啟用就無法更改。因此，開發人員必須確保它們的網站始終可以使用 HTTPS 安全連接（避免HTTP/HTTPS混用），否則用戶將無法連接到你的網站。
vincentjava@yahoo.com.tw 段維瀚老師製 Apache Tomcat 配置 HSTS HttpHeaderSecurityFilter 最早出現在 Tomcat 8.0.23 Tomcat 9.x 產生標頭回應 Strict-Transport-Security X-Frame-Options X-Content-Type-Options X-XSS-Protection 這四個標頭都是重要的網站安全措施，可以有效防止常見的攻擊威脅，並保證用戶的數據和隱私得到保護。
vincentjava@yahoo.com.tw 段維瀚老師製 HSTS Header 配置說明 Strict-Transport-Security 用於強制瀏覽器使用安全連接（HTTPS）連接到網站。例如： Strict-Transport-Security: max-age=31536000;includeSubDomains 這個標頭指示瀏覽器在一年（31536000 秒）內強制使用 HTTPS 訪問網站和其子域。
vincentjava@yahoo.com.tw 段維瀚老師製 HSTS Header 配置說明 X-Frame-Options 用於防止網站被置於框架中（也稱為 "clickjacking" 攻擊） X-Frame-Options: DENY 這個標頭指示瀏覽器不允許網站被置於框架中，以防止攻擊者偽造用戶界面來獲取敏感信息。
vincentjava@yahoo.com.tw 段維瀚老師製 HSTS Header 配置說明 X-Content-Type-Options 用於防止 MIME 偽造攻擊。 X-Content-Type-Options: nosniff 這個標頭指示瀏覽器不應該根據檔案內容自動檢測 MIME 類型，而應該按照標頭中指定的類型進行處理。這可以防止攻擊者利用 MIME 偽造來注入恶意代碼。
vincentjava@yahoo.com.tw 段維瀚老師製 HSTS Header 配置說明 X-XSS-Protection 用於防止跨站執行腳本 (XSS) 攻擊。 X 是指 Cross-Site Scripting 的縮寫 X-XSS-Protection: 1; mode=block "1" 表示瀏覽器應啟用 XSS 保護。 mode=block: (封鎖)如果瀏覽器檢測到 XSS 攻擊，它會阻止頁面的輸出，以防止惡意腳本的執行。 mode=sanitize: (消毒)如果瀏覽器檢測到 XSS 攻擊，它會對頁面的輸出進行清理，以消除惡意腳本的影響。
vincentjava@yahoo.com.tw 段維瀚老師製 Tomcat 配置 conf/web.xml <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <async-supported>true</async-supported> <init-param> <param-name>hstsEnabled</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>hstsMaxAgeSeconds</param-name> <param-value>31536000</param-value> </init-param> <init-param> <param-name>hstsIncludeSubDomains</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping> REQUEST: 表示只有在當前的請求中執行過濾器。 FORWARD: 表示在對請求進行轉發時執行過濾器。 INCLUDE: 表示在對請求進行包含時執行過濾器。 ERROR: 表示當出現錯誤時執行過濾器。
vincentjava@yahoo.com.tw 段維瀚老師製資訊安全要素
vincentjava@yahoo.com.tw 段維瀚老師製駭客攻擊手段站台入侵阻斷服務攻擊殭屍網路零時差攻擊網路釣魚社交工程 APT 能否抵擋？
vincentjava@yahoo.com.tw 段維瀚老師製駭客攻擊手段站台入侵 APT 能否抵擋？
vincentjava@yahoo.com.tw 段維瀚老師製 APT攻擊 Advanced Persistent Threats 持續性滲透攻擊針對特定目標所進行的長期持續性的網路攻擊行為，攻擊手法可以是相當先進且細膩，讓人難以防範，具備高度隱匿特性，長期潛伏與滲透 Spear Phishing 魚叉式釣魚郵件為 APT 最常見的入侵方法之一透過高針對性客製化設計，以特定的收件人為目標，從社交網路取得收件人的信息，降低戒心，誘騙收件人開啟 email 或附件
vincentjava@yahoo.com.tw 段維瀚老師製 Spear Phishing 魚叉式攻擊
vincentjava@yahoo.com.tw 段維瀚老師製駭客攻擊手段站台入侵阻斷服務攻擊 APT 能否抵擋？
vincentjava@yahoo.com.tw 段維瀚老師製 DoS 阻斷服務攻擊造成目標站台無法正常提供服務，輕則讓服務效能下降，重則導致服務完全停擺消耗網路頻寬消耗系統資源 DDos 分散式阻斷服務攻擊
vincentjava@yahoo.com.tw 段維瀚老師製駭客攻擊手段站台入侵阻斷服務攻擊殭屍網路 APT 能否抵擋？
vincentjava@yahoo.com.tw 段維瀚老師製殭屍網路駭客植入惡意程式在受害者電腦中，該電腦就稱為殭屍電腦（Bot）這種惡意程式因為會自行複製與主動散播，會隨著 email、通訊軟體、電腦系統漏洞尋找新的宿主。如此駭客就可已輕易控制多台殭屍電腦，並集結而成「殭屍網路」近年來物聯網 iOT 興起，物聯網系統成為殭屍電腦是最為棘手的。物聯網 iOT 也是駭客最愛攻擊的目標。
vincentjava@yahoo.com.tw 段維瀚老師製駭客攻擊手段站台入侵阻斷服務攻擊殭屍網路零時差攻擊 APT 能否抵擋？
vincentjava@yahoo.com.tw 段維瀚老師製 Zero-day Attack 零時差攻擊利用尚未修補的漏洞(系統空窗期)進行攻擊開發廠商補丁的速度會影響零時差攻擊時間的長短虛擬修補(Vitual Patching) 在廠商修復漏洞的這段期間，可以先透過網頁程式防火牆(WAF)先過濾可以連線與存取行為，並配合透過沙箱分析機制以檢測惡意程式，提早進行攔截與阻擋，雖然並沒有針對問題本身進行修補，但可以有效爭取更多修補更新的時間。
vincentjava@yahoo.com.tw 段維瀚老師製 Zero-day Attack 零時差攻擊時間發現漏洞駭客攻擊釋出補丁修補更新有效攻擊時間
vincentjava@yahoo.com.tw 段維瀚老師製駭客攻擊手段站台入侵阻斷服務攻擊殭屍網路零時差攻擊網路釣魚社交工程 APT 能否抵擋？
vincentjava@yahoo.com.tw 段維瀚老師製社交工程-人往往就是安全性最薄弱的環節網路釣魚是常見的社交工程手法中獎頁面、抽獎廣告、法院通知文件等或透過你的好友通知自動將惡意包裝成doc、xls、ppt下載並誘騙使用者點擊因為檔案內含有惡意巨集程式因此就被感染網址誘騙 www.gov.tw (正常網址) www.g0v.tw (詐騙網址) www.101.com (正常網址) www.l0l.com (詐騙網址) admin@compony.com (正常email) admin@connpony.com (詐騙email)
vincentjava@yahoo.com.tw 段維瀚老師製駭客攻擊手段站台入侵阻斷服務攻擊殭屍網路零時差攻擊網路釣魚社交工程安全防護 APT
vincentjava@yahoo.com.tw 段維瀚老師製資訊安全三要素 A. 機密性(Confidentiality) • 資料不得被未經過授權的使用者取得或揭露其特性 B. 完整性(Integrity) • 資料或程序在傳輸或儲存過程中，不得被未經授權的竄改 C. 可用性(Availability) • 確保資料能讓已授權的使用者能時存取與使用的特性威脅編號資安威脅要素被破壞 T1 網路傳輸資料內容外洩 T2 資料庫機密內容外洩 T3 網頁內容遭竄改 T4 站台被植入惡意程式 T5 系統資源耗盡，服務停擺 (網路頻寬、儲存空間) T6 天災人禍造成系統主機損毀 A A B B C C
vincentjava@yahoo.com.tw 段維瀚老師製資安威脅風險值計算 A 機密性、B 完整性、C 可用性威脅編號資安威脅要素 T1 網路傳輸資料內容外洩 A T2 資料庫機密內容外洩 A T3 網頁內容遭竄改 B T4 站台被植入惡意程式 B T5 系統資源耗盡，服務停擺 (網路頻寬、儲存空間) C T6 天災人禍造成系統主機損毀 C 發生機率影響程度極可能 (3分) 可能 (2分) 較不可能 (1分) 極嚴重 (3分) 嚴重 (2分) 一般 (1分) T1(4分) T2(9分) T3(2分) T4(3分) T5(1分) T6(2分)
vincentjava@yahoo.com.tw 段維瀚老師製設計安全控制措施 A 機密性、B 完整性、C 可用性威脅編號風險值資安威脅要素風險處理方式 T1 4 網路傳輸資料內容外洩 A T2 9 資料庫機密內容外洩 A T3 2 網頁內容遭竄改 B T4 3 站台被植入惡意程式 B T5 1 系統資源耗盡，服務停擺 (網路頻寬、儲存空間) C T6 2 天災人禍造成系統主機損毀 C 全站啟用HTTPS 1. 機密內容加密後儲存 2. 有權限的使用者或程序才可存取資料庫加強使用者輸入之檢查與行為追蹤實作上傳資料驗證機制若專案預算有限，保留此風險，當服務停擺重新啟動若專案預算有限，保留此風險，重新購置或轉雲端
vincentjava@yahoo.com.tw 段維瀚老師製網站安全設計原則著名講者 Eoin Woods 以他多年經驗，歸納10條安全設計原則。無論是專案經理或是工程師，這部影片都能讓你有所收穫
vincentjava@yahoo.com.tw 段維瀚老師製網站安全設計原則 1. 最小權限原則 2. 責任分離原則 3. 不輕易相信原則 4. 採用最簡單原則 5. 記錄敏感事件 6. 不安全的預設值 7. 不依賴混淆 8. 深層防禦 9. 避免自創安全機制 10.尋找脆弱環節
vincentjava@yahoo.com.tw 段維瀚老師製 1.最小權限原則 • 相信大家都曾有過這樣的經驗，每個工程師都拿sudo權限，都有權限改系統設定，造成環境的混亂。 • 應該要給大家盡量小的權限，讓大家能夠完成任務即可，不要拿過多的權限。
vincentjava@yahoo.com.tw 段維瀚老師製 2.責任分離原則 • 不管是在商業邏輯層級或是系統層級，都應該做到責任分離。例如：付款模組跟訂單模組應該要分開，前端介面跟後端資料庫要分開，各司其職。 • 這樣的原則跟出納跟會計要分開很像，責任分離避免安全性的疑慮。
vincentjava@yahoo.com.tw 段維瀚老師製 3.不輕易相信原則 • 任何未知的連接都應該視為不可被信任的。 • 舉一個Message Queue的案例來說，我們不應該輕易相信每一個連線。
vincentjava@yahoo.com.tw 段維瀚老師製 4.採用最簡單原則若是安全設計太複雜，便很難被大家理解，而大家無法理解的話，就會很難正確執行。
vincentjava@yahoo.com.tw 段維瀚老師製 5.記錄敏感事件 • 至少當系統出事的時候，可以知道發生了什麼事情。 • 這些 Log 需要放在更安全的地方，權限也要做另外的控管。
vincentjava@yahoo.com.tw 段維瀚老師製 6.不安全的預設值 • 大部分的人都不會更改預設的帳號密碼，當系統安裝完後，就使用預設的帳密做事，這樣是很危險的。 • 你們家裡的買的wifi分享器，密碼都改了嗎 ?
vincentjava@yahoo.com.tw 段維瀚老師製 7.不依賴混淆 • 「混淆」機制有很多種，例如：更換 port 號, 混淆程式碼等等。 • 不要過度依賴這些方式來防禦，因為既然是人做的混淆，總有可能被暴力猜中。
vincentjava@yahoo.com.tw 段維瀚老師製 8.深層防禦 • 就像古代的城堡有很多層防禦，系統的防禦也應該從 UI, API, Database 都作防禦。 • 避免被駭客單點突破後，整個系統就被予取予求。
vincentjava@yahoo.com.tw 段維瀚老師製 9.避免自創安全機制自行發明東西很酷！但是不要用在自己發明安全機制，例如：不要自己發明加密演算法，因為你設計的東西很難一次就完美。
vincentjava@yahoo.com.tw 段維瀚老師製 10.尋找脆弱環節 • 應該主動地去找尋系統的弱點，然後改進它。 • 缺點是會花費很多時間和成本。
vincentjava@yahoo.com.tw 段維瀚老師製落實安全的網站設計上述這10項原則只要有開發經驗的人都可以產生共鳴，但是落實就必須要靠資安管理稽核來進行。另外專案Delay要罰錢了、趕快進度、先上了再說、或有即時性的需求往往便宜行事（或將資安問題往後擺）程式碼不嚴謹、也是會造成資安漏洞。任何上線前的程式一定要通過資安檢測!
vincentjava@yahoo.com.tw 段維瀚老師製補充：網頁應用防火牆（WAF）什麼是WAF 網頁應用防火牆（WAF）是一種特殊形式的應用層級防火牆(Web Application Firewall)，用來過濾、監控和阻擋，從Web服務進出的 HTTP流量。通過檢查HTTP流量，它可以防止利用Web應用程序的已知漏洞的攻擊，例如SQL注入，跨站點腳本（XSS）和不正確的系統配置。
vincentjava@yahoo.com.tw 段維瀚老師製 Apache Tomcat下常用的 WAF ModSecurity 是一款開源的WAF，可以與Apache、Nginx和IIS等Web服務器一起使用，也可以單獨使用。 NAXSI NAXSI是一款開源的Nginx插件，提供了強大的防護性能，可以與Tomcat一起使用。 WebKnight WebKnight是一款商業的WAF，可以通過Apache和IIS代理來保護Tomcat應用。 Sucuri Firewall Sucuri Firewall是一款商業的WAF，提供了全面的防禦能力，可以與任何Web應用一起使用，包括Tomcat。 Cloudflare Cloudflare 是一款商業的CDN服務，也提供了WAF功能，可以與Tomcat一起使用。

Check these out next

Session1(更新20230205).pdf

Recommended

More Related Content

Similar to Session1(更新20230205).pdf(20)

Recently uploaded(20)

Session1(更新20230205).pdf